Sicherheitsprozess

  • Zusammenspiel: Schutzziele + Managementmethodik + Maßnahmen + Rahmenbedingungen

  • Fragen: angemessenes Sicherheitsniveau, welche Ressourcen + wie?

  • Wasserfallmodell

    • Voruntersuchung <→ Analyse <→ Grobentwurf <→ Feinentwurf <→ Realisierung <→ Betrieb + Wartung

    • +: , -:

  • Evolutionäres/inkrementelles Modell

    • Voruntersuchung / Analyse → Definieren → Entwurf → Realisierung → Betrieb → Definieren → …​

    • +: , -:

  • Spiralmodell

    • Analyse: Zielidentifikation → Evaluierung der Alternativen: Risikoanalyse → Entwicklung + Verifikation (verwende anderes Modell) → Planung nächster Schritte

    • +: , -:

ISO 2700x

  • Ziele: Normierung IT-SP für Unternehmen (insb Aufgabenbeschreibung Management), Best Practices

  • kein Anspruch auf Vollständigkeit

  • Einteilung: Terminologie (0), allgemeine Anforderungen (1), allgemeine Richtlinien (2/5), branchenspez Richtlinien

  • ISMS: Gesamtheit des Managementapparats + Mittel → Prozess + Risikoanalyse/akzeptanz (Tradeoff Risiko - Nutzen)/management

    • kritisch für Umsetzung: Sicherheitleitlinie, Ziel-Sicherheitsniveau, Bewusstsein, …​

  • Prozessmodell (Kreislauf)

    • Identifizeren: IT-Sicherheitsanforderung durch Bestände + Wert, geschäftliche Interessen, Rahmenbed (rechtlich, regulatorisch, vertraglich)

    • Risikomanagementprozess: Gefährdungsbeurteilung (Id → Analyse → Bewertung)

    • Implementieren: siehe 2, nicht nur technische Maßnahmen (zB. Schulung + Bewusstseinsbildung)

    • Instandhalten & Verbessern: Vorbeugung, Überwachung/Überprüfung von Maßnahmen/Wirksamkeit/Risikoeinschätzung , interne Audits

  • Managementverantwortung: Zielbildung (SLL, RN), Organisation, Schulung + Bewusstsein, Kontrolle

  • Sicherheitsleitlinie (SLL)

    • verindliche Grundsätze für IT-Sicherheit (~Grundgesetz)

    • Aufgaben: Bedeutung (IT + IT-Sicherheit), Zielsetzung, Strategie (Rahmen für RE + RM), Organisation

    • Bspaufbau: Bedeutung, Zweck, Grundlage für Datenschutz, Organisation + Beteiligung + Grundsatz der ¨Balance¨

  • Cloud-Daten (18): Best-Practices, Erweiterung von ISO 27001-Standard spez für Cloud-Daten (zB. Datenaufbewahrung, Verwendung/Verbreitung, Werbezwecke?, …​)

Maßnahmen

  • Risikobegnung: Behandlung mit Maßnahme (Risikoreduktion), Tolerieren von Restrisiko, Vermeidung/Elimierung/Übertragung

  • Maßnahmen pro AWF individuell

  • Wie ist meine Organisation aufgestellt?

    • SLL

    • Organisation der Informationssicherheit: Engagement des Managements, Mobilgeräte, Telearbeit, …​

  • Welche Assets und Personen umfasst meine Organisation

    • Personalsicherheit: Aufgaben + Verantwortlichkeiten zuweisen, Beendigung + Wechsel der Anstellung, …​

    • Management von organisationseigenen Werten: Inventarisierung, Handhabung von Speicher-und Aufzeichnungsmedien, …​

  • Wie kann technische Sicherheit gewährleistet werden?

    • Zugriffskontrolle: Benutzer/Passwortverwaltung, Geräteidentifikation, …​

    • Kryptographie

    • Schutz vor physischem Zugang und Umwelteinflüssen: Sicherheitsbereiche, Zutrittskontrolle, …​

    • Betriebssicherheit: Dokumentation von Betriebsprozessen + Zuständigkeiten, Backups, …​

    • Sicherheit in der Kommunikation: Netzsicherheit, Verwaltung + Entsorgung von Speichermedien, …​

  • Wie kann sicherer Betrieb gewährleistet werden?

    • Anschaffung, Entwicklung und Instandhaltung von Systemen: Spezifikation von S-Anforderungen, Datenintegrität, …​

    • Lieferantenbeziehungen

    • Management von Informationssicherheitsvorfällen: Melden von Ereignissen, sammeln von Beweisen, …​

    • Informationssicherheitsaspekte des Betriebskontinuitätsmanagements: Redundanzen, …​

  • Welche Vorgaben muss meine Organisation einhalten?

    • Richtlinienkonformität (Compliane): Identifikation anzuwendender Gesetze, geistiges Eigentum, …​

BSI-Grundschutz

  • Ziel: organisatorische, personelle, infrastrukturelle + technische Standard-Sicherheitsmaßnahmen für SN

  • IT-Strukturanalyse

    • Ermittlung: Infrastruktur, Rahmenbed, Kommunikationsverbindungen, Anwendungen, …​

    • Vorgehen: Netzplan → Komplexität verringern → Systeme erfassen → Anwendungen zusammenstellen

  • Schutzbedarfsfeststellung

    • Vereinfachung durch Schutzbedarfskategorien (normal, hoch, sehr hoch)

    • pro Schutzziel separat, insb für CIA

    • für Anwendungen + Daten (insb personenbezogene), Systeme/Server, Kommunikationssysteme

    • mögliche Prinzipien: Maximumsprinzip (Anw mit höchstem Schadenspotential), Kumulationseffekt (Schutzbedarf höher als SB aller Anwendungen wegen Kumulation), Verteilungseffekt (" geringer wegen Redundany mit anderen Systemen)

  • Baukastensystem

    • Format: Kurzbeschreibung, Gefährdungslage, Maßnahmenempfehlung

    • Gruppen: übergreifende Aspekte (zB. Kryptokonzept), Infrastruktur, IT-Systeme, Netze, IT-Anwendungen

  • Gefährdungskataloge: 0 elementar, 1 höhere Gewalt, 2 organisatorische Mängel, 3 menschliche Fehlhandlungen, 4 technisches Versagen, 5 vorsätzliche Handlung

  • Maßnahmenkataloge

    • Infrastruktur (Einhaltung von Normen), Organisation (Festlegung von Verantwortlichkeiten), Personal (Vorschriften + Regelungen)

    • Hardware + Software (Bildschirmsperre), Kommunikation (nur benötigte Leitungen), Notfallvorsorge (Versicherungen abschließen)

  • Bewertung

    • Ziel: Erlangen eines Grundschutz, Fokus nicht auf hohem IT-Sicherheitsniveau

    • Umsetzung: handhabungorientiertes Management, vereinfachte "Risikoanalyse"

  • Vergleich

    • BSI konkretisiert das allgemeine ISO 2700x-Paket

    • Verhältnis: BSI-Grunschutz konform zu ISO 27001+

    • +: Berücksichtigung deutscher Besonderheiten (Recht, …​), Umsetzung einfacher da konkrete Beschreibung

    • -: Maßnahmenkataloge oft zu konkret (aufwendige Überprüfung + Umsetzung) / nicht aktuell, Grundschutz starr (Maßnahme nicht durch gleichwertige ersetzbar)

    • Fazit: gut anwendbar für mittelgroße IT-Verbunde, für kleine || große "Overkill|"

results matching ""

    No results matching ""